Els atacs basats en correu electrònic han estat un compromís principal per a les empreses des que el correu electrònic es va fer servir àmpliament. Tot i que inicialment va començar com una manera de lliurar programari maliciós per sabotejar o desfigurar els actius corporatius, els atacants ràpidament es van adonar que hi havia més a guanyar. Quan les credencials d'accés estaven a l'abast, juntament amb les dades de la targeta de pagament i les dades d'identificació valuoses, els atacs de correu electrònic es van transformar en atacs de pesca de correu electrònic.
El phishing es defineix millor com intentar obtenir accés a informació o credencials dels usuaris finals fent-se passar per una font potencialment legítima de correu electrònic o trucada. Sovint, un atac de pesca de correu electrònic s'aconsegueix imitant, falsificant o ocupant un domini per fer que una adreça d'origen de correu electrònic aparegui d'una font legítima, com Microsoft o AWS. L'atacant espera que l'usuari faci clic en un enllaç del correu electrònic i proporcioni credencials o descarregui un programari maliciós adjunt.
La descàrrega de programari maliciós pot donar a l'atacant un petit punt de peu a la xarxa que continuarà augmentant o girant per moure's per la xarxa sense previ avís. Un cop dins, l'atacant pot obtenir informació confidencial o desplegar alguna cosa molt més nefasta, com ara el ransomware.
La pesca de correu electrònic ha tornat
Com que la pesca de correu electrònic ha existit des de fa temps, molts assumeixen que ara és menys una amenaça que abans. El contrari és cert. Com qualsevol altra cosa en ciberseguretat, la batalla contra el phishing de correu electrònic és un joc de gat i ratolí, on els defensors gairebé sempre reaccionen als atacants. A mesura que els equips, les eines i els grups d'investigació de ciberseguretat identifiquen patrons per ajudar a defensar una organització, els atacants pivoten per evadir aquesta defensa, creant nous mètodes d'atac.
Hi ha hagut un ressorgiment dels atacs de pesca en els últims anys. Moltes eines, com ara G-suite i O365, ofereixen recursos per ajudar a mitigar el risc d'un atac de pesca. Aquestes eines són excel·lents per capturar campanyes de pesca massiva de baixa tecnologia mitjançant l'aprenentatge automàtic i el coneixement del ramat, però no són a prova de bales. Els atacants s'han tornat més sofisticats, amb tècniques que poden eludir la detecció inicial d'aquestes eines, deixant els empleats en primera línia per defensar l'empresa. L'única manera real per a les organitzacions de protegir-se és assegurar-se que els usuaris finals estiguin totalment educats i prestin molta atenció a tots els correus electrònics que arriben.
Entendre l'impacte
A mesura que les organitzacions han millorat la postura de seguretat i les capacitats de prevenció, s'ha tornat més difícil accedir als atacants. Per això, els atacants han tornat a utilitzar el phishing com a principal manera d'entrada a les organitzacions.
Segons l'Estudi de pesca de pesca Ponemon 2021, el cost mitjà de pesca de les organitzacions ha augmentat gairebé 5 vegades des del 2015. A més, la pèrdua de productivitat s'ha duplicat en aquest mateix temps per als empleats. La pèrdua de productivitat podria derivar del bloqueig de les credencials, de la necessitat de reimaginar els sistemes o de la impossibilitat dels usuaris de treballar durant la investigació.
Com que el cost més gran és el treball necessari per recuperar i redistribuir els actius dels usuaris afectats, hi ha un cost creixent a mesura que els empleats passen a una postura més remota.
Quan la consciència de seguretat no és suficient
Per combatre les estafes de pesca de correu electrònic, moltes empreses tenen formació en consciència de seguretat que orienta els empleats a detectar i evitar atacs habituals. Però les proves de la seva eficàcia són mixtes. Les enquestes mostren que molts empleats no donen tota la seva atenció a les sessions de formació en seguretat. A més, les sessions llargues poden generar frustració i associacions negatives amb els mètodes necessaris per a la seguretat.
Els estudis han demostrat que l'entrenament ha de ser breu i regular per ser eficaç. Com que els atacs de pesca milloren ràpidament, els empleats han de practicar la detecció de les estafes més actualitzades. Però tot i que això se sap, moltes organitzacions no tenen l'incentiu o el pressupost per invertir en l'alt nivell de formació de conscienciació necessari per reduir el seu risc global.
La millor defensa
El problema de la pesca de correu electrònic no desapareix. Com es poden protegir les persones i les empreses dels atacs de pesca? Lluny de ser una solució senzilla, la millor defensa és un enfocament polivalent.
Per començar, les empreses han d'implementar eines que ajudin a detectar i eliminar atacs de pesca que s'identifiquen fàcilment a les safates d'entrada. Aquest mètode és efectiu perquè redueix la possibilitat d'error humà. Fins i tot si no hi ha formació en seguretat, una organització pot sobreviure a un atac si mai arriba a la bústia d'entrada d'un empleat.
El següent pas és implementar un programa sòlid de formació i educació per als empleats sobre com identificar i denunciar atacs de pesca. Aquest últim és crític i fàcil de passar per alt. Tenir un bucle de retroalimentació actiu perquè l'organització pugui revisar els intents fallits de pesca pot ajudar les TI a reforçar la xarxa contra atacs similars en el futur. La formació en seguretat dels empleats hauria d'implicar presentacions i pràctiques pràctiques mitjançant simulació.
Les organitzacions han d'explicar que la formació simulada de pesca no pretén atrapar una persona, sinó ajudar-la a entendre com identificar la pesca i continuar perfeccionant les seves habilitats de seguretat. Finalment, una organització hauria de buscar implementar eines i protocols de resposta addicionals que impliquin el seguiment de l'activitat dels usuaris.
Què hi ha a continuació per a la pesca?
A mesura que les organitzacions milloren les eines, la prevenció i les capacitats de detecció, continuarem veient com evolucionen els atacants. Esperem veure més campanyes de pesca amb escopeta de baixa tecnologia d'organitzacions que esperen passar per la detecció i atrapar només una persona.
Tanmateix, és més probable que els atacants pivotin per enfrontar-se a una nova onada de tàctiques i tecnologia. Aquesta evolució està passant ara. Cada cop arriben més atacs de pesca mitjançant SMS (Smishing) per evitar els controls corporatius. Segons l'assessorament de ciberseguretat Xarxa assegurada, també veurem una utilització més gran de la intel·ligència de codi obert per imitar proveïdors de confiança o fins i tot per comprometre un venedor per permetre que es puguin llançar atacs contra els seus clients.
Independentment de la tendència actual dels atacs, es pot suposar que el phishing continuarà sent un dels principals vectors de compromís inicial per als atacants.